De vlaggen UserAccountControl gebruiken om eigenschappen van gebruikersaccounts te bewerken
In dit artikel wordt informatie beschreven over het gebruik van het kenmerk UserAccountControl om eigenschappen van gebruikersaccounts te bewerken.
Oorspronkelijk KB-nummer: 305144
Samenvatting
Wanneer u de eigenschappen voor een gebruikersaccount opent, klikt u op het tabblad Account en schakelt u de selectievakjes in het dialoogvenster Accountopties in of uit, worden numerieke waarden toegewezen aan het kenmerk UserAccountControl. De waarde die aan het kenmerk is toegewezen, vertelt Windows welke opties zijn ingeschakeld.
Als u gebruikersaccounts wilt weergeven, klikt u op Start, wijst u Programma's aan, wijst u Systeembeheer aan en klikt u vervolgens op Active Directory.
Lijst met eigenschapsvlagmen
U kunt deze kenmerken bekijken en bewerken met behulp van het hulpprogramma Ldp.exe of de module Adsiedit.msc.
De volgende tabel bevat mogelijke vlaggen die u kunt toewijzen. U kunt een aantal waarden voor een gebruiker of computerobject niet instellen omdat deze waarden alleen door de adreslijstservice kunnen worden ingesteld of opnieuw kunnen worden ingesteld. Ldp.exe de waarden in hexadecimaal weergeven. Adsiedit.msc geeft de waarden weer in decimale waarden. De vlaggen zijn cumulatief. Als u het account van een gebruiker wilt uitschakelen, stelt u het kenmerk UserAccountControl in op 0x0202 (0x002 + 0x0200). In decimaal is het 514 (2 + 512).
Notitie
U kunt Active Directory rechtstreeks bewerken in zowel Ldp.exe als Adsiedit.msc. Alleen ervaren beheerders moeten deze hulpprogramma's gebruiken om Active Directory te bewerken. Beide hulpprogramma's zijn beschikbaar nadat u de ondersteuningshulpprogramma's hebt geïnstalleerd vanaf het oorspronkelijke Windows-installatiemedium.
| Eigenschapsvlag | Waarde in hexadecimaal | Waarde in decimaal |
|---|---|---|
| SCRIPT | 0x0001 | 1 |
| ACCOUNTDISABLE | 0x0002 | 2 |
| HOMEDIR_REQUIRED | 0x0008 | 8 |
| LOCKOUT | 0x0010 | 16 |
| PASSWD_NOTREQD | 0x0020 | 32 |
| PASSWD_CANT_CHANGE U kunt deze machtiging niet toewijzen door het kenmerk UserAccountControl rechtstreeks te wijzigen. Zie de sectie Beschrijvingen van de eigenschapsvlag voor informatie over het programmatisch instellen van de machtiging. |
0x0040 | 64 |
| ENCRYPTED_TEXT_PWD_ALLOWED | 0x0080 | 128 |
| TEMP_DUPLICATE_ACCOUNT | 0x0100 | 256 |
| NORMAL_ACCOUNT | 0x0200 | 512 |
| INTERDOMAIN_TRUST_ACCOUNT | 0x0800 | 2048 |
| WORKSTATION_TRUST_ACCOUNT | 0x1000 | 4096 |
| SERVER_TRUST_ACCOUNT | 0x2000 | 8192 |
| DONT_EXPIRE_PASSWORD | 0x10000 | 65536 |
| MNS_LOGON_ACCOUNT | 0x20000 | 131072 |
| SMARTCARD_REQUIRED | 0x40000 | 262144 |
| TRUSTED_FOR_DELEGATION | 0x80000 | 524288 |
| NOT_DELEGATED | 0x100000 | 1048576 |
| USE_DES_KEY_ONLY | 0x200000 | 2097152 |
| DONT_REQ_PREAUTH | 0x400000 | 4194304 |
| PASSWORD_EXPIRED | 0x800000 | 8388608 |
| TRUSTED_TO_AUTH_FOR_DELEGATION | 0x1000000 | 16777216 |
| PARTIAL_SECRETS_ACCOUNT | 0x04000000 | 6.7108.864 |
Notitie
In een windows Server 2003-domein zijn LOCK_OUT en PASSWORD_EXPIRED vervangen door een nieuw kenmerk met de naam ms-DS-User-Account-Control-Computed. Zie het kenmerk ms-DS-User-Account-Control-Computed voor meer informatie over dit nieuwe kenmerk.
Beschrijvingen van eigenschapsvlag
SCRIPT: het aanmeldingsscript wordt uitgevoerd.
ACCOUNTDISABLE : het gebruikersaccount is uitgeschakeld.
HOMEDIR_REQUIRED - De basismap is vereist.
PASSWD_NOTREQD : er is geen wachtwoord vereist.
PASSWD_CANT_CHANGE : de gebruiker kan het wachtwoord niet wijzigen. Het is een machtiging voor het object van de gebruiker. Zie Modifying User Cannot Change Password (LDAP-provider) voor informatie over het programmatisch instellen van deze machtiging.
ENCRYPTED_TEXT_PASSWORD_ALLOWED : de gebruiker kan een versleuteld wachtwoord verzenden.
TEMP_DUPLICATE_ACCOUNT: het is een account voor gebruikers waarvan het primaire account zich in een ander domein bevindt. Dit account biedt gebruikerstoegang tot dit domein, maar niet tot een domein dat dit domein vertrouwt. Het wordt soms een lokaal gebruikersaccount genoemd.
NORMAL_ACCOUNT: dit is een standaardaccounttype dat een typische gebruiker vertegenwoordigt.
INTERDOMAIN_TRUST_ACCOUNT: het is een vergunning om een account te vertrouwen voor een systeemdomein dat andere domeinen vertrouwt.
WORKSTATION_TRUST_ACCOUNT: het is een computeraccount voor een computer waarop Microsoft Windows NT 4.0 Workstation, Microsoft Windows NT 4.0 Server, Microsoft Windows 2000 Professional of Windows 2000 Server wordt uitgevoerd en lid is van dit domein.
SERVER_TRUST_ACCOUNT: het is een computeraccount voor een domeincontroller die lid is van dit domein.
DONT_EXPIRE_PASSWD : vertegenwoordigt het wachtwoord, dat nooit op het account mag verlopen.
MNS_LOGON_ACCOUNT: het is een MNS-aanmeldingsaccount.
SMARTCARD_REQUIRED: wanneer deze vlag is ingesteld, wordt de gebruiker gedwongen zich aan te melden met behulp van een smartcard.
TRUSTED_FOR_DELEGATION: wanneer deze vlag is ingesteld, wordt het serviceaccount (het gebruikers- of computeraccount) waaronder een service wordt uitgevoerd vertrouwd voor Kerberos-delegering. Een dergelijke service kan een client imiteren die de service aanvraagt. Als u een service voor Kerberos-delegering wilt inschakelen, moet u deze vlag instellen op de eigenschap userAccountControl van het serviceaccount.
NOT_DELEGATED: wanneer deze vlag is ingesteld, wordt de beveiligingscontext van de gebruiker niet gedelegeerd aan een service, zelfs niet als het serviceaccount is ingesteld als vertrouwd voor Kerberos-delegering.
USE_DES_KEY_ONLY - (Windows 2000/Windows Server 2003) Beperk deze principal om alleen DES-versleutelingstypen (Data Encryption Standard) voor sleutels te gebruiken.
DONT_REQUIRE_PREAUTH - (Windows 2000/Windows Server 2003) Voor dit account is geen Kerberos-verificatie vooraf vereist voor aanmelding.
PASSWORD_EXPIRED - (Windows 2000/Windows Server 2003) Het wachtwoord van de gebruiker is verlopen.
TRUSTED_TO_AUTH_FOR_DELEGATION - (Windows 2000/Windows Server 2003) Het account is ingeschakeld voor delegatie. Het is een beveiligingsgevoelige instelling. Accounts waarvoor deze optie is ingeschakeld, moeten nauw worden beheerd. Met deze instelling kan een service die wordt uitgevoerd onder het account, ervan uitgaan dat de identiteit van een client wordt gebruikt en wordt geverifieerd als die gebruiker op andere externe servers in het netwerk.
PARTIAL_SECRETS_ACCOUNT - (Windows Server 2008/Windows Server 2008 R2) Het account is een alleen-lezen domeincontroller (RODC). Het is een beveiligingsgevoelige instelling. Als u deze instelling verwijdert uit een RODC, wordt de beveiliging op die server aangetast.
UserAccountControl-waarden
Dit zijn de standaard userAccountControl-waarden voor de bepaalde objecten:
- Typische gebruiker: 0x200 (512)
- Domeincontroller: 0x82000 (532480)
- Werkstation/server: 0x1000 (4096)
- Vertrouwen: 0x820 (2080)
Notitie
Een Windows-vertrouwensaccount is uitgesloten van het hebben van een wachtwoord via PASSWD_NOTREQD UserAccountControl-kenmerkwaarde omdat vertrouwensobjecten niet gebruikmaken van het traditionele wachtwoordbeleid en wachtwoordkenmerken op dezelfde manier als gebruikers- en computerobjecten.
Vertrouwensgeheimen worden vertegenwoordigd door speciale kenmerken van de vertrouwensaccounts tussen domeinen, die de richting van de vertrouwensrelatie aangeven. Inkomende vertrouwensgeheimen worden opgeslagen in het kenmerk trustAuthIncoming, aan de 'vertrouwde' kant van een vertrouwensrelatie. Uitgaande vertrouwensgeheimen worden opgeslagen in het kenmerk trustAuthOutgoing, aan het einde van een vertrouwensrelatie.
- Voor tweerichtingsvertrouwensrelaties heeft het INTERDOMAIN_TRUST_ACCOUNT object aan elke kant van de vertrouwensrelatie beide ingesteld.
- Vertrouwensgeheimen worden onderhouden door de domeincontroller die de primaire domeincontroller (PDC) emulator Flexible Single Master Operation (FSMO) rol in het vertrouwende domein is.
- Daarom is het kenmerk PASSWD_NOTREQD UserAccountControl standaard ingesteld voor INTERDOMAIN_TRUST_ACCOUNT accounts.