Benutzersicherheitsattribute
Zusätzlich zu den Benennungseigenschaften für Benutzerobjekte, z. B. objectGUID, objectSid, cn, distinguishedNameusw., gibt es weitere Sicherheitseigenschaften, die für die Anmeldung, den Netzwerkzugriff und die Zugriffssteuerung verwendet werden. Diese Eigenschaften werden vom Windows-Sicherheitssystem verwendet und können vom Active Directory-Benutzer und -Computer Snap-In angezeigt und verwaltet werden.
accountExpires
Das attribut accountExpires gibt an, wann ein Konto abläuft. Dieser Wert wird als große ganze Zahl gespeichert, die die Anzahl der Intervalle von 100-Nanosekunden seit dem 1. Januar 1601 (UTC) darstellt. Ein Wert von TIMEQ_FOREVER (definiert in Lmaccess.h) gibt an, dass ein Konto nie abläuft.
altSecurityIdentities
Das attribut altSecurityIdentities ist ein mehrwertiges Attribut, das Zuordnungen für X.509-Zertifikate oder externe Kerberos-Benutzerkonten zu diesem Benutzer zum Zweck der Authentifizierung enthält. Verschiedene Sicherheitspakete, einschließlich Public Key-Authentifizierungspaket und Kerberos, verwenden diese Daten, um Benutzer zu authentifizieren, wenn sie die alternative Form der Identifizierung wie Zertifikat, UNIX Kerberos-Ticket usw. präsentieren. Erstellen Sie ein Windows 2000-Token basierend auf dem entsprechenden Benutzerkonto, sodass sie auf Systemressourcen zugreifen können.
Bei X.509-Zertifikaten sollten die Werte die Aussteller- und Antragstellernamen in 509v3-Zertifikaten sein, die von einer externen öffentlichen Zertifizierungsstelle ausgestellt wurden, die dem Benutzerkonto zugeordnet sind, das zum Suchen eines Kontos für die Authentifizierung verwendet wird. Das SSL-Paket (Schannel) verwendet die folgende Syntax: X509:<somecertinfotype>somecertinfo. Der folgende Wert gibt beispielsweise den Aussteller DN "<I>" mit dem DN "C=US,O=InternetCA,CN=APublicCertificateAuthority" und dem Betreff DN "<S>" mit dem DN "C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith" an.
X509:<I>C=US,O=InternetCA,CN=APublicCertificateAuthority<S>C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith
Beachten Sie, dass "<S>" oder "<ich>" und "<S>" unterstützt werden. Nur "<ich>" wird nicht unterstützt. Anwendungen sollten die Werte in "<I>" oder "<S>" nicht ändern, da der teilweise DN-Abgleich nicht unterstützt wird.
Bei externen Kerberos-Konten sollten die Werte der Name des Kerberos-Kontos sein. Das Kerberos-Paket verwendet die folgende Syntax: Kerberos:MITaccountname. Beispielsweise ist folgendes der Wert für ein Konto bei Fabrikam.com:
Kerberos:Jeff.Smith@Fabrikam.com
badPasswordTime
Nicht repliziert. Das attribut badPasswordTime gibt das letzte Mal an, wenn der Benutzer versucht hat, sich mit einem falschen Kennwort beim Konto anzumelden. Dieser Wert wird als große ganze Zahl gespeichert, die die Anzahl der Intervalle von 100-Nanosekunden seit dem 1. Januar 1601 (UTC) darstellt. Dieses Attribut wird separat auf jedem Domänencontroller in der Domäne verwaltet. Ein Wert von Null bedeutet, dass die letzte ungültige Kennwortzeit unbekannt ist. Um einen genauen Wert für die letzte ungültige Kennwortzeit des Benutzers in der Domäne zu erhalten, muss jeder Domänencontroller in der Domäne abgefragt werden, und der größte Wert sollte verwendet werden.
badPwdCount
Nicht repliziert. Das attribut badPwdCount gibt an, wie oft der Benutzer versucht hat, sich mit einem falschen Kennwort beim Konto anzumelden. Dieses Attribut wird separat auf jedem Domänencontroller in der Domäne verwaltet. Ein Wert von 0 gibt an, dass der Wert unbekannt ist. Um einen genauen Wert für die Gesamtanzahl der ungültigen Kennwortversuche des Benutzers in der Domäne zu erhalten, muss jeder Domänencontroller in der Domäne abgefragt werden, und die Summe der Werte sollte verwendet werden.
codePage
Das codePage-attribut gibt die Codepage für die ausgewählte Sprache des Benutzers an. Dieser Wert wird von Windows nicht verwendet.
countryCode
Das attribut countryCode gibt den Länder-/Regionscode für die Sprache des Benutzers an. Dieser Wert wird von Windows nicht verwendet.
homeDirectory
Das attribut homeDirectory gibt den Pfad des Startverzeichnisses für den Benutzer an. Die Zeichenfolge kann null sein.
Wenn homeDrive- festgelegt ist und einen Laufwerkbuchstaben angibt, sollte homeDirectory- ein UNC-Pfad sein. Der Pfad muss ein UNC-Netzwerkpfad des Formulars \\server\share\directory sein. Dieser Wert kann eine NULL-Zeichenfolge sein.
Wenn homeDrive- nicht festgelegt ist, sollte homeDirectory- ein lokaler Pfad sein, z. B. C:\mylocaldir.
homeDrive
Das attribut homeDrive gibt den Laufwerkbuchstaben an, dem der durch homeDirectoryangegebene UNC-Pfad zugeordnet werden soll. Der Laufwerkbuchstaben muss in der folgenden Form angegeben werden:
<drive letter>:
wobei "<Laufwerkbuchstaben>" der Buchstabe des Laufwerks ist, das zugeordnet werden soll. Zum Beispiel:
Z:
Wenn dieses Attribut nicht festgelegt ist, sollte das homeDirectory- ein lokaler Pfad sein, z. B. C:\mylocaldir.
lastLogoff
Nicht repliziert. Das attribut lastLogoff gibt an, wann die letzte Abmeldung aufgetreten ist. Dieser Wert wird als große ganze Zahl gespeichert, die die Anzahl der Intervalle von 100-Nanosekunden seit dem 1. Januar 1601 (UTC) darstellt. Der hohe Teil dieser großen ganzen Zahl entspricht dem dwHighDateTime Element der FILETIME- Struktur und der niedrige Teil entspricht dem dwLowDateTime Element der FILETIME Struktur. Dieses Attribut wird separat auf jedem Domänencontroller in der Domäne verwaltet. Ein Wert von Null bedeutet, dass die letzte Abmeldungszeit unbekannt ist. Um einen genauen Wert für die letzte Abmeldung des Benutzers in der Domäne zu erhalten, muss jeder Domänencontroller in der Domäne abgefragt werden, und der größte Wert sollte verwendet werden.
lastLogon
Nicht repliziert. Das attribut lastLogon gibt an, wann die letzte Anmeldung erfolgt ist. Dieser Wert wird als große ganze Zahl gespeichert, die die Anzahl der Intervalle von 100-Nanosekunden seit dem 1. Januar 1601 (UTC) darstellt. Der hohe Teil dieser großen ganzen Zahl entspricht dem dwHighDateTime Element der FILETIME- Struktur und der niedrige Teil entspricht dem dwLowDateTime Element der FILETIME Struktur. Dieses Attribut wird separat auf jedem Domänencontroller in der Domäne verwaltet. Ein Wert von Null bedeutet, dass die letzte Anmeldezeit unbekannt ist. Um einen genauen Wert für die letzte Anmeldung des Benutzers in der Domäne zu erhalten, muss jeder Domänencontroller in der Domäne abgefragt werden, und der größte Wert sollte verwendet werden.
lmPwdHistory
Das attribut lmPwdHistory ist der Kennwortverlauf des Benutzers im unidirektionalen Format (LAN Manager, LM) (OWF). Das LM OWF wird zur Kompatibilität mit LAN Manager 2.x-Clients, Windows 95 und Windows 98 verwendet. Dieses Attribut wird nur vom Betriebssystem verwendet. Beachten Sie, dass Sie das Nur-Text-Kennwort nicht aus dem OWF-Formular des Kennworts ableiten können.
logonCount
Nicht repliziert. Das attribut logonCount zählt die Anzahl der erfolgreichen Male, die der Benutzer versucht hat, sich bei diesem Konto anzumelden. Dieses Attribut wird auf jedem Domänencontroller in der Domäne verwaltet. Ein Wert von 0 gibt an, dass der Wert unbekannt ist. Um einen genauen Wert für die Gesamtzahl der erfolgreichen Anmeldeversuche des Benutzers in der Domäne zu erhalten, muss jeder Domänencontroller in der Domäne abgefragt werden, und die Summe der Werte sollte verwendet werden.
Post
Das attribut mail ist ein attribut mit einem wertigen Wert, das die SMTP-Adresse für den Benutzer enthält, z. B. jeff@Fabrikam.com.
maxStorage
Das attribut maxStorage gibt den maximalen Festplattenspeicher an, den der Benutzer verwenden kann. Verwenden Sie den wert USER_MAXSTORAGE_UNLIMITED (definiert in Lmaccess.h), um den gesamten verfügbaren Speicherplatz zu verwenden.
memberOf
Das attribut memberOf ist ein mehrwertiges Attribut, das Gruppen enthält, von denen der Benutzer ein direktes Mitglied ist, mit Ausnahme der primären Gruppe, die durch die primaryGroupIddargestellt wird. Die Gruppenmitgliedschaft hängt vom Domänencontroller (DC) ab, aus dem dieses Attribut abgerufen wird:
- Bei einem DC für die Domäne, die den Benutzer enthält, ist MitgliedOf für den Benutzer in Bezug auf die Mitgliedschaft für Gruppen in dieser Domäne abgeschlossen;
memberOfenthält jedoch nicht die Mitgliedschaft des Benutzers in lokalen und globalen Domänengruppen in anderen Domänen. - Auf einem GC-Server ist MemberOf für den Benutzer in Bezug auf alle universellen Gruppenmitgliedschaften vollständig.
Wenn beide Bedingungen für den DC erfüllt sind, sind beide Datensätze in memberOfenthalten.
Beachten Sie, dass dieses Attribut die Gruppen auflistet, die den Benutzer in ihrem Member-Attribut enthalten – es enthält nicht die rekursive Liste der geschachtelten Vorgänger. Wenn z. B. Benutzer O mitglied von Gruppe C und Gruppe B ist und Gruppe B in Gruppe A geschachtelt wurde, würde das memberOf Attribut von Benutzer O die Gruppe C und Gruppe B auflisten, aber nicht die Gruppe A.
Dieses Attribut wird nicht gespeichert – es handelt sich um ein berechnetes Back-Link-Attribut.
ntPwdHistory
Das ntPwdHistory Attribut ist der Kennwortverlauf des Benutzers im unidirektionalen Windows NT-Format (OWF). Windows verwendet windows NT OWF. Dieses Attribut wird nur vom Betriebssystem verwendet. Beachten Sie, dass Sie das Nur-Text-Kennwort nicht vom OWF-Formular des Kennworts ableiten können.
otherMailbox
Das attribut otherMailbox ist ein mehrwertiges Attribut, das andere zusätzliche E-Mail-Adressen in einem Formular enthält, z. B. CCMAIL: JeffSmith.
PasswordExpirationDate
Das Ablaufdatum des Kennworts ist kein Attribut für das Benutzerobjekt. Es handelt sich um einen berechneten Wert basierend auf der Summe pwdLastSet- für den Benutzer und maxPwdAge der Domäne des Benutzers. Rufen Sie zum Abrufen des Ablaufdatums des Kennworts die IADsUser.PasswordExpirationDate-Eigenschaft ab. Sie können dieses Attribut für einen Benutzer nicht ändern; Legen Sie stattdessen die IADsDomain.MaxPasswordAge Eigenschaft fest, um die Einstellung für die Domäne zu ändern.
primaryGroupId
Das primaryGroupId-Attribut ist ein attribut mit einem wertigen Wert, das die primaryGroupToken- der Gruppe enthält, die die primäre Gruppe des Objekts ist. Die primäre Gruppe des Objekts ist nicht im attribut memberOf enthalten. Die primäre Gruppe eines Benutzerobjekts ist beispielsweise standardmäßig die primaryGroupToken der Gruppe "Domänenbenutzer", die Gruppe "Domänenbenutzer" ist jedoch nicht Teil des memberOf-Attributs des Benutzerobjekts.
profilePath
Das profilePath-attribut gibt einen Pfad zum Profil des Benutzers an. Dieser Wert kann eine NULL-Zeichenfolge, ein lokaler absoluter Pfad oder ein UNC-Pfad sein.
pwdLastSet
Das pwdLastSet Attribut gibt an, wann das Kennwort zuletzt geändert wurde. Dieser Wert wird als große ganze Zahl gespeichert, die die Anzahl der Intervalle von 100-Nanosekunden seit dem 1. Januar 1601 (UTC) darstellt.
Das System verwendet den Wert dieses Attributs und das maxPwdAge Attribut der Domäne, das das Benutzerobjekt enthält, um das Ablaufdatum des Kennworts zu berechnen. Das heißt, die Summe pwdLastSet- für den Benutzer und maxPwdAge der Domäne des Benutzers.
Dieses Attribut steuert, ob der Benutzer das Kennwort ändern muss, wenn sich der Benutzer als Nächstes anmeldet. Wenn pwdLastSet null ist, muss der Benutzer das Kennwort bei der nächsten Anmeldung ändern. Der Wert -1 gibt an, dass der Benutzer das Kennwort bei der nächsten Anmeldung nicht ändern muss. Das System legt diesen Wert auf -1 fest, nachdem der Benutzer das Kennwort festgelegt hat.
sAMAccountType
Das attribut sAMAccountType gibt eine ganze Zahl an, die den Kontotyp darstellt. Dies wird vom Betriebssystem festgelegt, wenn das Objekt erstellt wird.
scriptPath
Das attribut scriptPath gibt den Pfad des Anmeldeskripts des Benutzers, .cmd, .exeoder .bat Datei an. Die Zeichenfolge kann null sein.
tokenGroups
Das attribut tokenGroups ist ein mehrwertiges Attribut, das die SID aller Gruppen enthält, von denen der Benutzer ein direktes und indirektes Mitglied ist, einschließlich der primären Gruppe. Dieses Attribut kann nur abgerufen werden, wenn ein Global Catalog (GC)-Server vorhanden ist, um die transitiven Reversemitgliedschaften abzurufen.
Beachten Sie, dass dieses Attribut die Gruppen auflistet, die den Benutzer in ihrem Mitgliedsattribute enthalten, sowie Gruppen, die diese Gruppen in ihrem Mitgliedsattribute enthalten, usw. rekursiv. Wenn z. B. Benutzer O mitglied von Gruppe C und Gruppe B ist und Gruppe B in Gruppe A geschachtelt wurde, würde das tokenGroups-Attribut von Benutzer O die Gruppe C, Gruppe B und Gruppe A auflisten.
Das attribut tokenGroups ist ein nützliches Attribut zum Abrufen einer Liste von Gruppenmitgliedschaften in nur zwei LDAP-Abfragen: die erste, um die Liste der Gruppen-SIDs aus dem Attribut tokenGroups des Benutzers abzurufen, die zweite mithilfe dieser Liste von SIDs, um das Namensattribute jeder Gruppe abzurufen. Es wird vermieden, dass mehrere Suchvorgänge erforderlich sind, um das primaryGroupId-Attribut zu erweitern und das memberOf-Attribut rekursiv zu erweitern.
unicodePwd
Das unicodePwd- attribut ist das Benutzerkennwort.
Verwenden Sie zum Festlegen des Benutzerkennworts die IADsUser.ChangePassword--Methode, wenn Ihr Skript oder Ihre Anwendung dem Benutzer das Ändern seines eigenen Kennworts oder IADsUser.SetPassword-Methode ermöglicht, wenn Ihr Skript oder ihre Anwendung es einem Administrator ermöglicht, ein Kennwort zurückzusetzen.
Das Kennwort des Benutzers im unidirektionalen Windows NT-Format (OWF). Windows verwendet windows NT OWF. Dieses Attribut wird nur vom Betriebssystem verwendet. Beachten Sie, dass Sie das Nur-Text-Kennwort nicht vom OWF-Formular des Kennworts ableiten können.
userAccountControl
Das attribut userAccountControl gibt Flags an, die das Kennwort, die Sperrung, das Deaktivieren/Aktivieren, Das Skript und das Startverzeichnisverhalten für den Benutzer steuern. Dieses Attribut enthält auch ein Flag, das den Kontotyp des Objekts angibt. Das Benutzerobjekt hat in der Regel den UF_NORMAL_ACCOUNT festgelegt.
Die folgenden Flags werden in Lmaccess.h definiert.
| Flagge | Beschreibung |
|---|---|
| UF_SCRIPT | Das Anmeldeskript, das ausgeführt wird. Dieser Wert muss für LAN Manager 2.0 oder Windows NT festgelegt werden. |
| UF_ACCOUNTDISABLE | Das Benutzerkonto ist deaktiviert. |
| UF_HOMEDIR_REQUIRED | Das Startverzeichnis ist erforderlich. Dieser Wert wird in Windows NT und Windows 2000 ignoriert. |
| UF_PASSWD_NOTREQD | Es ist kein Kennwort erforderlich. |
| UF_PASSWD_CANT_CHANGE | Der Benutzer kann das Kennwort nicht ändern. |
| UF_LOCKOUT | Das Konto ist zurzeit gesperrt. Dieser Wert kann gelöscht werden, um ein zuvor gesperrtes Konto zu entsperren. Dieser Wert kann nicht zum Sperren eines zuvor gesperrten Kontos verwendet werden. |
| UF_DONT_EXPIRE_PASSWD | Stellt das Kennwort dar, das niemals auf dem Konto ablaufen soll. |
Die folgenden Flags beschreiben den Kontotyp. Es kann nur ein Wert festgelegt werden. Sie können den Kontotyp nicht ändern.
| Flagge | Beschreibung |
|---|---|
| UF_NORMAL_ACCOUNT | Dies ist ein Standardkontotyp, der einen typischen Benutzer darstellt. |
| UF_TEMP_DUPLICATE_ACCOUNT | Dies ist ein Konto für Benutzer, deren primäres Konto sich in einer anderen Domäne befindet. Dieses Konto bietet Benutzerzugriff auf diese Domäne, jedoch nicht auf eine Domäne, die dieser Domäne vertraut. Der Benutzer-Manager bezieht sich auf diesen Kontotyp als lokales Benutzerkonto. |
| UF_WORKSTATION_TRUST_ACCOUNT | Dies ist ein Computerkonto für eine Windows NT Workstation/Windows 2000 Professional oder Windows NT Server/Windows 2000 Server, die Mitglied dieser Domäne ist. |
| UF_SERVER_TRUST_ACCOUNT | Dies ist ein Computerkonto für einen Windows NT-Sicherungsdomänencontroller, der Mitglied dieser Domäne ist. |
| UF_INTERDOMAIN_TRUST_ACCOUNT | Dies ist eine Vertrauenswürdigstellung für eine Windows NT-Domäne, die anderen Domänen vertraut. |
userCertificate
Das attribut userCertificate ist ein mehrwertiges Attribut, das die für den Benutzer ausgestellten X509v3-Zertifikate enthält. Beachten Sie, dass dieses Attribut die öffentlichen Schlüsselzertifikate enthält, die vom Microsoft-Zertifikatdienst an diesen Benutzer ausgestellt wurden.
userSharedFolder
Das attribut userSharedFolder gibt einen UNC-Pfad zum Freigegebenen Dokumentordner des Benutzers an. Der Pfad muss ein UNC-Netzwerkpfad des Formulars \\server\share\directory sein. Dieser Wert kann eine NULL-Zeichenfolge sein.
userWorkstations
Das userWorkstations Attribut ist ein attribut mit einem wertigen Wert, das die NetBIOS-Namen der Arbeitsstationen enthält, bei denen sich der Benutzer anmelden kann. Jeder NetBIOS-Name wird durch ein Komma getrennt.
Wenn keine Werte festgelegt sind, gibt dies an, dass keine Einschränkung vorhanden ist. Um Anmeldungen von allen Arbeitsstationen für dieses Konto zu deaktivieren, legen Sie den UF_ACCOUNTDISABLE Wert (definiert in Lmaccess.h) in userAccountControl Attribut fest.