Compartir a través de


Atributos de seguridad del usuario

Además de asignar nombres a las propiedades de los objetos de usuario, por ejemplo, objectGUID, objectSid, cn, distinguishedName, etc., hay otras propiedades de seguridad usadas para el inicio de sesión, el acceso a la red y el control de acceso. El sistema de seguridad de Windows usa estas propiedades y se puede ver y administrar mediante el complemento Usuarios y equipos de Active Directory .

accountExpires

El atributo accountExpires especifica cuándo expira una cuenta. Este valor se almacena como un entero grande que representa el número de intervalos de 100 nanosegundos desde el 1 de enero de 1601 (UTC). Un valor de TIMEQ_FOREVER (definido en Lmaccess.h) indica que una cuenta nunca expira.

altSecurityIdentities

El atributo altSecurityIdentities es un atributo multivalor que contiene asignaciones para certificados X.509 o cuentas de usuario externas de Kerberos para este usuario con el fin de la autenticación. Varios paquetes de seguridad, como el paquete de autenticación de clave pública y Kerberos, usan estos datos para autenticar a los usuarios cuando presentan la forma alternativa de identificación, como el certificado, el vale Kerberos de UNIX, etc. Cree un token de Windows 2000 basado en la cuenta de usuario correspondiente para que pueda acceder a los recursos del sistema.

En el caso de los certificados X.509, los valores deben ser los nombres de emisor y asunto en los certificados 509v3, emitidos por una entidad de certificación pública externa, que se asignan a la cuenta de usuario utilizada para buscar una cuenta para la autenticación. El paquete SSL (Schannel) usa la sintaxis siguiente: X509:<somecertinfotype>somecertinfoinfo. Por ejemplo, el siguiente valor especifica el emisor DN "<I>" con el DN "C=US,O=InternetCA,CN=APublicCertificateAuthority" y el asunto DN "<S>" con el DN "C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith".

X509:<I>C=US,O=InternetCA,CN=APublicCertificateAuthority<S>C=US,O=Fabrikam,OU=Sales,CN=Jeff Smith

Tenga en cuenta que se admiten "S" o "<<I>" y "<S>".> No se admite tener solo "<I>". Las aplicaciones no deben modificar los valores de "<I>" o "<S>" porque no se admite la coincidencia parcial de DN.

En el caso de las cuentas externas de Kerberos, los valores deben ser el nombre de la cuenta kerberos. El paquete Kerberos usa la sintaxis siguiente: Kerberos:MITaccountname. Por ejemplo, el siguiente es el valor de una cuenta en Fabrikam.com:

Kerberos:Jeff.Smith@Fabrikam.com

badPasswordTime

No replicado. El atributo badPasswordTime especifica la última vez que el usuario intentó iniciar sesión en la cuenta con una contraseña incorrecta. Este valor se almacena como un entero grande que representa el número de intervalos de 100 nanosegundos desde el 1 de enero de 1601 (UTC). Este atributo se mantiene por separado en cada controlador de dominio del dominio. Un valor de cero significa que se desconoce la última hora de contraseña incorrecta. Para obtener un valor preciso para la última hora de contraseña incorrecta del usuario en el dominio, se debe consultar cada controlador de dominio del dominio y se debe usar el valor más grande.

badPwdCount

No replicado. El atributo badPwdCount especifica el número de veces que el usuario intentó iniciar sesión en la cuenta con una contraseña incorrecta. Este atributo se mantiene por separado en cada controlador de dominio del dominio. Un valor de 0 indica que el valor es desconocido. Para obtener un valor preciso para el total de intentos de contraseña incorrectas del usuario en el dominio, se debe consultar cada controlador de dominio del dominio y se debe usar la suma de los valores.

Codepage

El atributo codePage especifica la página de códigos del idioma elegido del usuario. Windows no usa este valor.

countryCode

El atributo countryCode especifica el código de país o región para el idioma del usuario. Windows no usa este valor.

homeDirectory

El atributo homeDirectory especifica la ruta de acceso del directorio principal para el usuario. La cadena puede ser null.

Si homeDrive está establecido y especifica una letra de unidad, homeDirectory debe ser una ruta de acceso UNC. La ruta de acceso debe ser una ruta de acceso UNC de red con el formato \\server\share\directory. Este valor puede ser una cadena nula.

Si no se establece homeDrive , homeDirectory debe ser una ruta de acceso local, por ejemplo, C:\mylocaldir.

homeDrive

El atributo homeDrive especifica la letra de unidad a la que asignar la ruta de acceso UNC especificada por homeDirectory. La letra de unidad debe especificarse de la siguiente forma:

<drive letter>:

donde "<letra de> unidad" es la letra de la unidad que se va a asignar. Por ejemplo:

Z:

Si no se establece este atributo, homeDirectory debe ser una ruta de acceso local, por ejemplo, C:\mylocaldir.

lastLogoff

No replicado. El atributo lastLogoff especifica cuándo se produjo el último inicio de sesión. Este valor se almacena como un entero grande que representa el número de intervalos de 100 nanosegundos desde el 1 de enero de 1601 (UTC). La parte alta de este entero grande corresponde al miembro de la dwHighDateTime estructura FILETIME y la parte baja corresponde al dwLowDateTime miembro de la FILETIME estructura. Este atributo se mantiene por separado en cada controlador de dominio del dominio. Un valor de cero significa que se desconoce la hora del último inicio de sesión. Para obtener un valor preciso para el último inicio de sesión del usuario en el dominio, se debe consultar cada controlador de dominio del dominio y se debe usar el valor más grande.

lastLogon

No replicado. El atributo lastLogon especifica cuándo se produjo el último inicio de sesión. Este valor se almacena como un entero grande que representa el número de intervalos de 100 nanosegundos desde el 1 de enero de 1601 (UTC). La parte alta de este entero grande corresponde al miembro de la dwHighDateTime estructura FILETIME y la parte baja corresponde al dwLowDateTime miembro de la FILETIME estructura. Este atributo se mantiene por separado en cada controlador de dominio del dominio. Un valor de cero significa que se desconoce la última hora de inicio de sesión. Para obtener un valor preciso para el último inicio de sesión del usuario en el dominio, se debe consultar cada controlador de dominio del dominio y se debe usar el valor más grande.

lmPwdHistory

El atributo lmPwdHistory es el historial de contraseñas del usuario en formato unidireccional (OWF) de LAN Manager (LM). El LM OWF se usa para la compatibilidad con clientes LAN Manager 2.x, Windows 95 y Windows 98. Este atributo solo lo usa el sistema operativo. Tenga en cuenta que no puede derivar la contraseña de texto no cifrado del formulario OWF de la contraseña.

logonCount

No replicado. El atributo logonCount cuenta el número de veces correctas que el usuario intentó iniciar sesión en esta cuenta. Este atributo se mantiene en cada controlador de dominio del dominio. Un valor de 0 indica que el valor es desconocido. Para obtener un valor preciso para el número total de intentos de inicio de sesión correctos del usuario en el dominio, se debe consultar cada controlador de dominio del dominio y se debe usar la suma de los valores.

mail

El atributo mail es un atributo con un solo valor que contiene la dirección SMTP del usuario, por ejemplo, jeff@Fabrikam.com.

maxStorage

El atributo maxStorage especifica la cantidad máxima de espacio en la unidad de disco duro que el usuario puede usar. Use el valor de USER_MAXSTORAGE_UNLIMITED (definido en Lmaccess.h) para usar todo el espacio disponible en disco.

memberOf

El atributo memberOf es un atributo multivalor que contiene grupos de los que el usuario es miembro directo, excepto para el grupo principal, representado por primaryGroupId. La pertenencia a grupos depende del controlador de dominio (DC) del que se recupera este atributo:

  • En un controlador de dominio para el dominio que contiene el usuario, memberOf para el usuario se completa con respecto a la pertenencia a grupos de ese dominio; sin embargo, memberOf no contiene la pertenencia del usuario a grupos locales y globales de dominio en otros dominios.
  • En un servidor GC, memberOf para el usuario se completa con respecto a todas las pertenencias a grupos universales.

Si ambas condiciones son verdaderas para el controlador de dominio, ambos conjuntos de datos se incluyen en memberOf.

Tenga en cuenta que este atributo enumera los grupos que contienen el usuario en su atributo miembro; no contiene la lista recursiva de predecesores anidados. Por ejemplo, si el usuario O es miembro del grupo C y el grupo B y el grupo B se anidaron en el grupo A, el atributo memberOf del usuario O enumeraría el grupo C y el grupo B, pero no el grupo A.

Este atributo no se almacena: es un atributo de vínculo back-link calculado.

ntPwdHistory

El atributo ntPwdHistory es el historial de contraseñas del usuario en formato unidireccional (OWF) de Windows NT. Windows usa windows NT OWF. Este atributo solo lo usa el sistema operativo. Tenga en cuenta que no puede derivar la contraseña de texto no cifrado de nuevo del formulario OWF de la contraseña.

otherMailbox

El atributo otherMailbox es un atributo multivalor que contiene otras direcciones de correo adicionales en un formulario, por ejemplo, CCMAIL: JeffSmith.

PasswordExpirationDate

La fecha de expiración de la contraseña no es un atributo en el objeto de usuario. Es un valor calculado basado en la suma de pwdLastSet para el usuario y maxPwdAge del dominio del usuario. Para obtener la fecha de expiración de la contraseña, obtenga la propiedad IADsUser.PasswordExpirationDate . No se puede modificar este atributo para un usuario; en su lugar, establezca la propiedad IADsDomain.MaxPasswordAge para cambiar la configuración del dominio.

primaryGroupId

El atributo primaryGroupId es un atributo de valor único que contiene el primaryGroupToken del grupo que es el grupo principal del objeto. El grupo principal del objeto no se incluye en el atributo memberOf . Por ejemplo, de forma predeterminada, el grupo principal de un objeto de usuario es el primaryGroupToken del grupo Usuarios del dominio, pero el grupo Usuarios del dominio no forma parte del atributo del objeto de memberOf usuario.

profilePath

El atributo profilePath especifica una ruta de acceso al perfil del usuario. Este valor puede ser una cadena nula, una ruta de acceso absoluta local o una ruta de acceso UNC.

pwdLastSet

El atributo pwdLastSet especifica cuándo se cambió por última vez la contraseña. Este valor se almacena como un entero grande que representa el número de intervalos de 100 nanosegundos desde el 1 de enero de 1601 (UTC).

El sistema usa el valor de este atributo y el atributo maxPwdAge del dominio que contiene el objeto de usuario para calcular la fecha de expiración de la contraseña. Es decir, la suma de pwdLastSet para el usuario y maxPwdAge del dominio del usuario.

Este atributo controla si el usuario debe cambiar la contraseña cuando el usuario inicie sesión a continuación. Si pwdLastSet es cero, el valor predeterminado, el usuario debe cambiar la contraseña en el siguiente inicio de sesión. El valor -1 indica que el usuario no es necesario para cambiar la contraseña en el siguiente inicio de sesión. El sistema establece este valor -1 en después de que el usuario haya establecido la contraseña.

sAMAccountType

El atributo sAMAccountType especifica un entero que representa el tipo de cuenta. El sistema operativo establece esto cuando se crea el objeto.

scriptPath

El atributo scriptPath especifica la ruta de acceso del script de inicio de sesión del usuario, .cmd, .exe o .bat archivo. La cadena puede ser null.

tokenGroups

El atributo tokenGroups es un atributo multivalor que contiene el SID de todos los grupos de los que el usuario es un miembro directo e indirecto, incluido para el grupo principal. Este atributo solo se puede recuperar si existe un servidor de catálogo global (GC) para recuperar las pertenencias inversas transitivas.

Tenga en cuenta que este atributo enumera los grupos que contienen el usuario en su atributo miembro, así como los grupos que contienen esos grupos en su atributo miembro, etc. Por ejemplo, si el usuario O es miembro del grupo C y el grupo B y B se anidaron en el grupo A, el atributo tokenGroups del usuario O enumeraría el grupo C, el grupo B y el grupo A.

El atributo tokenGroups es un atributo útil para obtener una lista de pertenencias a grupos en solo dos consultas LDAP: la primera para obtener la lista de SID de grupo del atributo tokenGroups del usuario, la segunda que usa esa lista de SID para obtener el atributo name de cada grupo. Evita la necesidad de realizar varias búsquedas para expandir el atributo primaryGroupId y expandir recursivamente el atributo memberOf.

unicodePwd

El atributo unicodePwd es la contraseña de usuario.

Para establecer la contraseña de usuario, use el método IADsUser.ChangePassword , si el script o la aplicación permite al usuario cambiar su propia contraseña o método IADsUser.SetPassword , si el script o la aplicación permite a un administrador restablecer una contraseña.

La contraseña del usuario en formato unidireccional (OWF) de Windows NT. Windows usa Windows NT OWF. Este atributo solo lo usa el sistema operativo. Tenga en cuenta que no puede derivar la contraseña de texto no cifrado de nuevo del formulario OWF de la contraseña.

userAccountControl

El atributo userAccountControl especifica marcas que controlan el comportamiento de contraseña, bloqueo, deshabilitación/habilitación, script y directorio principal para el usuario. Este atributo también contiene una marca que indica el tipo de cuenta del objeto. Normalmente, el objeto de usuario tiene el UF_NORMAL_ACCOUNT establecido.

Las marcas siguientes se definen en Lmaccess.h.

Marca Descripción
UF_SCRIPT Script de inicio de sesión ejecutado. Este valor debe establecerse para LAN Manager 2.0 o Windows NT.
UF_ACCOUNTDISABLE La cuenta de usuario está deshabilitada.
UF_HOMEDIR_REQUIRED Se requiere el directorio principal. Este valor se omite en Windows NT y Windows 2000.
UF_PASSWD_NOTREQD No se requiere una contraseña.
UF_PASSWD_CANT_CHANGE El usuario no puede cambiar la contraseña.
UF_LOCKOUT La cuenta está bloqueada actualmente. Este valor se puede borrar para desbloquear una cuenta bloqueada previamente. Este valor no se puede usar para bloquear una cuenta bloqueada previamente.
UF_DONT_EXPIRE_PASSWD Representa la contraseña, que nunca debe expirar en la cuenta.

Las marcas siguientes describen el tipo de cuenta. Solo se puede establecer un valor. No se puede cambiar el tipo de cuenta.

Marca Descripción
UF_NORMAL_ACCOUNT Se trata de un tipo de cuenta predeterminado que representa un usuario típico.
UF_TEMP_DUPLICATE_ACCOUNT Se trata de una cuenta para los usuarios cuya cuenta principal está en otro dominio. Esta cuenta proporciona acceso de usuario a este dominio, pero no a ningún dominio que confíe en este dominio. El Administrador de usuarios hace referencia a este tipo de cuenta como una cuenta de usuario local.
UF_WORKSTATION_TRUST_ACCOUNT Se trata de una cuenta de equipo para windows NT Workstation/Windows 2000 Professional o Windows NT Server/Windows 2000 Server que es miembro de este dominio.
UF_SERVER_TRUST_ACCOUNT Se trata de una cuenta de equipo para un controlador de dominio de copia de seguridad de Windows NT que sea miembro de este dominio.
UF_INTERDOMAIN_TRUST_ACCOUNT Se trata de un permiso para confiar en una cuenta de dominio de Windows NT que confía en otros dominios.

userCertificate

El atributo userCertificate es un atributo multivalor que contiene los certificados X509v3 codificados en DER emitidos al usuario. Tenga en cuenta que este atributo contiene los certificados de clave pública emitidos para este usuario por el Servicio de certificados de Microsoft.

userSharedFolder

El atributo userSharedFolder especifica una ruta unc a la carpeta de documentos compartidos del usuario. La ruta de acceso debe ser una ruta UNC de red con el formato \\server\share\directory. Este valor puede ser una cadena nula.

userWorkstations

El atributo userWorkstations es un atributo de valor único que contiene los nombres NetBIOS de las estaciones de trabajo desde las que el usuario puede iniciar sesión. Cada nombre NetBIOS está separado por una coma.

Si no se establecen valores, esto indica que no hay ninguna restricción. Para deshabilitar los inicios de sesión de todas las estaciones de trabajo en esta cuenta, establezca el valor UF_ACCOUNTDISABLE (definido en Lmaccess.h) en el atributo userAccountControl .